现如今,令管理员非常头痛的一件事是如何确保网络的安全,其中如何保证接入私有网络的计算机符合健康策略更是耗费IT PRO们很多的精力,因为有很多计算机并不在管理员们的控制范围之内,如家庭计算机、出差用户、客户等笔记本,这些用户的计算机很可能没有及时安装关键补丁、没有启用防火墙、没有及时升级病毒库等,当他们接入公司内网的时候,势必给企业内网的安全性带来非常大的考验,NAP为Windows Server 2008、Windows Vista、Windows XP SP3提供了可以帮助管理员强制应用符合健康要求策略的网络访问或通讯时的组件及API,这样当计算机访问网络资源时,管理员使用NAP检验计算机是否符合安全健康策略,如果不符合则限制此计算机的访问,NAP不是用来保护恶意用户***的,如果计算机符合安全健康策略的用户上传恶意程序,则NAP不能实施保护措施。
NAP为以下几种场景提供一种解决方案:漫游计算机、家庭计算机、客户计算机等
NAP的组成部件:
System Health Agents and System Health Validators
Windows Vista 与Windows XP SP3中的SHA监视安全中心的设置,Windows Server 2008包括响应的SHV,NAP具有可扩展性与灵活性,软件厂商可以使用NAP API开发出自己的SHV与SHA;
Enforcement Components and Methods
NAP重要的组件enforcement clients (ECs) and enforcement servers (ESs)要求检验客户端的健康状态并当它不符合健康策略时执行受限的访问,目前支持以下四种的网络访问方式的NAP:
l 受保护的IPSEC流量
l 802.1X网络访问
l DHCP地址配置
l ×××网络连接
NPS
NPS是Windows Server 2008中的RADIUS服务器与代理,并且可以充当NAP 健康策略服务器。做为RADIUS服务器能提供身份验证、授权、审核AAA功能,NPS能够按照健康策略定义系统健康需求。
Remediation Server s
Remediation Servers包括Servers、Services、及不符合安全策略的客户端受限访问的资源,这些资源包括执行DNS解析、或存储最新的软件更新或病毒库,以便让不符合安全策略的客户端能够符合安全策略的要求。SHA能够直接与 Remediation Servers通讯或使用已经安装的相关软件。
NAP enforcement points
 使用NAP或可以使用NAP的计算机与网络设备要求NAP客户端的健康状态评估并提供受限的网络访问或通信,NAP enforcement points使用NPS来评估客户端的健康状态信息,NAP enforcement point举例:Health Registration Authority (HRA)、××× server、DHCP server、Network access devices
 
原文地址